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Titel: 



T „„c vbrschlOsselungsprogramms in binem 



DieErfindungbeziehtsichaufemVcrfiten^AusfB^ngemes 
VeracMusselungsprogramms zur Verschlilsselung von Data, m em=m 
mtoprozes S org.s.U«en^ 8 Daten aus.ausch und sur Energieversorgung mi. emem 

^In — S^— P. — 
I^eTdie in der Lage sind, suhand aines Verschidsseiung sprogramms Oa.en zu 

gegenuber Angnffen. 

„ Datentraser die Gegenstand der vorliegenden Erfindung sind, verfugen nicht 
DietragbarenDatentrager.dieueg S olarzelle. 

» TJnprmeversoreune, beispielsweise in Form einer Bauene ou 
ttberemeeigene Energieversorgung, P ^ Da tenaustauschgerat, 

Die Energieversorgung des tragbaxen Datentragers erfolgt dure* a 

. a dann audi die Kommunikation stattfindet. Cbipkarten wexsen auf der 

S=======f 

^zlrung dar Versorgungsspannung und das Versorgungssfcoma vorgesenen. Erne 

H ^Lw- ten. dam MaasaansaWuB, aina dar seriellen, biduetoonalen 
andereKontaktflaclieaiem eine der Zofilhiung ainas Taktsignals, 

Datenubertragung vom und zum Datananstauachgardt, ama der Zumnrung 
ei ne w ei,ere ia. «r dan Empfang eines ***** voucher, 

Die nagbaren Dagger, die 0^> dar Erfindung sind, waiaan ^ 
Mbl ,erbaus«ein auf, in dem ein Milooprozessor mi. ainem Fe S «we«spe,cher (ROM- Read 
Halblei.eroaus.em ... „„ rir w (RAM- Random Access Memory), m den 

Only Memory), einem flttchbgen Arbei.sspe.cher (RAM Kan 
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das Babiabssystam oder amnndas. Taiia davon abgalag, surd, und «nem mchrftebngar, 
Sndnrbaran Spaicnar (EEPROM - E.acbica! Erasable Programmable Read Only Memory) 
«tf Dami. stellt der .ragbare DatenMger em. Milrroreelmeretaheit dar, die jedocb enrer 
exfemen (von aoBernalb des tragbaren Daggers) Spanmmgs- end Slromversorgung 

DerMikroproaassorbUdatdiaVaraAai^gsachal^en^Aus^gvonProgra^^ 
i^esondere aucb von » EBPROM-Speieber nnd/oder 

ROM-Speicher gespeieher. sind. Hier amd ebenfclls gebeime UM von auflan mob. 
zuaSnglicb abgespeieher,. Diasa SonlOssel dianan dar VerschlOsselong dar Daren. Da ore 
vlblWungspropannna (Algorithmen) an slab rn.is.ans belrann. sind, Hag. dre ganze 
Sicberbei. binsicntlieb dar VerschlUsselung dar Daren bai dan gabeiman SehlUsseln. D>a 
versanmssaHsn Da.an sind demnacb aina Fanknon das VarsonlOssalangsprogramms m 
AbMngigkai. von dan unverschMsselten Datan (Klarfex.) und wenigstens ainam gabannan 
Schttissel: 

Bmder^, aUgemembekann.ee Verseato^ 

Lganann^-Aigo^ 
Xeisedarauf.dandiezuverscWfcsetad^ 

durcb aina Subsntuoonsoperation arsattt werden. Dabei gUt: 

D«„^p. = VP(D,K l ) 

wobei 

D die Eingangsdaten fur die Substitutionsoperation 
K| einen geheimen Schliissel 

undD encrVDt das Ergebnis der Substitutionsoperation bezeichnet, 



Aufgrund des physikalischen Aufbaus und der physikalischen Eigenschaften der in den 

tragbarenDatentragemeingesetztenHalbleiter^ 

dest ragbarenD~^^ 

vielxnehr zeitlichen Schwankungenunterworfen. Dabei hat es sich gezeigt, dafi die 

SchwankungendesVersorgungss^ 

^besondereSubsuUiuonsope^ 

der zu verarbeitenden (verschlusselnden) Daten korreUert. Unter Umstanden erfolgen die 
Schwankungensogarsyticb^^ 
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!* ein.n mi. der Tecbnik verbauten, unbefugten Benutzer is. ea ein leicb.es dies* 
Sch^^adesVer.orgun^me.dervon.Da.e^schg^andenWgbaren 

Da.enWgergeliefer.wud.nut.ela ernes Speicher^sziUoskops au^ch^ ^em - » 

Ve^gssuontfeitungeraenMe^^ 
aufdemOszmoskopaufeeielmetMi.BUek.ufdieAusfflmmgvon 

VerccWusselra.gsprogranun^^ 

M6giiel.kei.aber die Aufeeictaung der Sttomschwankungen beta Ausnrarendes 
VeL.selungsprcgramn^bc^^ 

„ k,ianni sind Dem Angretfer kommt dabei zugute, dali 
VerschMsselungsprogramme an sioh bekannt sura, van nx & 

es eine Reflation zwiscben den Stmmscbwankungen «nd einer sogenamUen 

Enfccbeidungsfunkuen gib, wobei die Ausgangswerte der Enucbeidungsnrak.cn vcn den zu 

verseUasseludeuDa.enaUu.pu.unddemgebeiraenScblusselabbangen.D.e 

EmscheidungstadcUcnwirdsobezeicbn^ 

2 S— auf die enacbeidende Aussage Uber den ncbugen Sebiease. gCrcfTen warden 

rarterscbieducben - inn. jedocb bekannten - DarenJeweUs die S<rcn»cbwankungen auf, sc 
tau er ausUn.erscbieuen in denjeweiligeu Sn^bwankungscharak.en^ka dumb 
Ko.re.auon mi. den zuvcr bere=bne«n Entscheidungsfunkuonen ROckseblusse auf den 

s^scbeAnaiysemiUelnndKcnelabcnaverfanrenzurUckgrci,^ 

diese Weise den gehetaen Scblussel bemusgeflraden, sc is. die Sicheme,. der 
Ver S cmWungmch,mebrg^^nad i .Ver S erau S ^ung^g»nm,. m ach 

.ekann. sind. Insbesondere bei synuneuizcben Verschibsseiungaverfsbren, wo zurVe, and 
ECschlbsselung ein und derselbe Scblussel verwende. wird, ware der An^fer dann der 
Lage, verschliisselte Daten zu entscblusseln. 

Ein derartiger Angriff auf die Sicberbei. vcn bagbaren Da.en«gem wird ata Mferenbai 
Fewer Analysis (DP A) bezeiebne.. Zur Ldsung dieses Prcblems wird in der C2-In.em, 
Edition*.. 67, vcm 15.7.98 (Kcpie is. als Anhang zum Pa.eman.rag be.gefug.) 
vcrge^agen.raden.ragbarenD..^^ . 
einzubnngen, die die SUcmscbwanknngen kompenaUzen sou, sc dag ein Angretfer drase mob. 
mehr feststellen kann und daraus keine Mckschlusse raebr zieben kann. 
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Diese L6sung ist jedocb sehr aufwendig und torn da sie die taptanentierung ernes 
zusatzliehen eietoniscbenBauteil, erfbrdert. Dajedoeh insbesondere der Cbipkartenmarkt 
eta Massenmark. is., is. bier der Preisdruek besonders boeb, so da» eine derart auf»endxge 
und teuere L6sung nicht akzeptabel ist 

Aufgabe der Erfmdung is. es daher, tragbare DatenWger der oben genamrten Art gegenuber 
einem Angriff aaf die Sicberheit bei der DatenversebMsaelung in effeMver, einfaober und 
kostengiinstiger Weise sicherer zu machen. 

Diese Aufgabe wird erfmdungsgemafl daduxch gel6st, daB die Eingangsdaten D vor der 
VerschlUsselung Uber eine XOR-Operation (®) mit einer Zufallszahl R verknupft werden, 
wcbei das Ergebnis dieser XOR-Operation als modifizierte Eingangsdaten D 'fur em unter 
Einbeziehung der Zufallszahl R zumindest hinsichtlich der Substitutionsoperatxon 
modifiziertes Verschlttsselungsprogramm VP'dienen, dabei gilt 

D' = (D © R) 
und 

D' eacrypt = VP'(D',K 1 ) 

Das Ergebnis D' encrypt des modifizierten Verscmusselungsprogramms VP' wirdnun 
wiederum mit der Zufallszahl R liber XOR-Operation verkmipft wird, um wieder D encrypt zu 
liefem, dabei gilt: 

D encryp t = D'encrypt ® R 



Aufgrund der XOR-Verknupfung der Eingangsdaten mit einer Zufallszahl korreheren die 
Stromschwankungen im Verlauf des Verschlusselungsprogramms, insbesondere im Verlauf 
von Substitutionsoperationen, nicht mehr mit den dem Angreifer bekannten Eingangsdaten. 
Der oben beschriebene DPA-Angriff wird somit erfolgreich abgewehrt. Durch das 
erfmdungsgemafle Verfahren werden die Daten, die in den Substitutionsoperationen des DES 
Algorithms verarbeitet werden, von den Eingangsdaten, die dem Angreifer bekannt smd, m 
nicht nachvollziehbarer Weise entkoppelt. Dabei entsprechen die Ausgangsdaten des DES- 
Algorithmus aber wieder dem „korrekten" DES-Ergebnis. 
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Anliand der 
Es zeigt: 



beigefugten Zeichnungen soli die Erfindung nachfolgend naher erlautert werden. 



Figur 1 eine Versuchsanordnung zur Aufzeicknung von Stromschwankungen bei der 

Ausfiihrung von VerscWusselungsprogrammen, 
Figur 2 ein Beispiel fur den zeitlichen Verlauf des Versorgungsstroms wahrend der 

Ausfiihrung des Verschlusselungsprogramms, 
Figur 3 ein FluBdiagramm fur den kompletten Ablauf des DES-Algorithmus, 
Figur 4 ein FluBdiagramm fiir den Ablauf einer DES-Runde, 
Figur 5 ein FluBdiagramm fur den Ablauf vor und nach der 1. DES-Runde 
Figur 6 +7 Flufidiagramme wie in Fig.5 , jedoch mit einer zusatzlichen XOR- 

Verkmipfung. 

I„ Figur 1 is. ein tmgbarerDatemrager inForm etaerMikmpmzessor-Chipkarte gezeigt. Der 
integrierte Halbleiterbaustein mi. dem Mikroprozeasor und den Speichem (RAM, ROM, 
EEPROM) befindet sich in einem Cbipmodul, das als separates Bauteil in den Kartenkdrper 
ehwesetz. wird. Auf dem Chipmodul befinden sioh die elektrischen KontaktfUchen sum 
DaLaustauach und zur Energieversorgung in Verbindung mi. dem Date— ehgemt (m 
dem darges.eli.en Fall is. dies ein Kartenterminal). Aus Grunden der CbersieMiehker, u, nur 

SU-om- und SpannungsversorgungsWtung vom Kartenternhnal an die enUpreehende 
KontaktfUehe der Kane sowie die Masseleitung eingezeichnet Fur den vorstehend 
beschriebenenDPA-Angriff auf die Chipkarte, wirdin die Sn.mvemorgungsle.tnng em 
Meowiderstand (Z.B. ein 1 Q) eingebau. und ttber den Spannungaabfall an diesem Widers.and 
indirek. die Sttomschwankungen gemessen undin einem Speieheroszilloskop aufgezerehner. 

Wie man in Fig. 2 erkennen kann sind die Stromsehwankungaamplimden, die wahrend der 
AusfUhrung eines VerschlUsaelungsprogramms auflreten kdnnen, stellenwe.se ein Vrelfaehes 
der mittteren Stmmaufnahme (GWohs.mman.eil), dabei Hegen die Stromwerte im Bemroh 
von MilUampere. Ein Angreifer k6nnte nun das Versohlusselnngspmgramm in der Chrpkarte 
mehrfach jeweils mi. versehiedenen Daten, die ihm bekann. sind, ausfubren lessen und dabe, 
joweils die Shomsohwankungen und die Versehlusselungsresultate aufzeiehnen. Parallel dazu 
kann der Angreifer nun fiir dieselben Daten EnBcheidungsmnktionen bereehnen, deren Werte 
von den Daten und von einem SehlUsselwer. abhangen, und mittels mathemauseher 
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^ em =,hodenve OT chen,b a auszu fl ,de D .obe S Ko ml a tt oncnzw*enden 
Stomautaichnungen nnd den bereehne«en ^ebeidmrgsnn^onen g>bt. 

bFigor 3 is.dasnuBdi^fflrdenAb^^DBS-Alg— 

Standard) aufgezcchnet Zu Details desDK, A.g rodliHKn 
Cryptography" von Bn.ce Schneider verwiesen, daa nn John Wtley & Sons Verlag 
^BloBS-A.go^uswerdendie.t— 

« Bit langen Da.enMoo.cs (Piaintex.) verschMssd.. Dabei wird tier zu versoMUssebrie 
ZbUznersteinersogenanntentt^^ 

Ve^schnngderBiU gentfB einer PennntanonstabeUe hew*. Ansehhenend wrd 

Unke und die rechte DatenhSlfte wie folgt ab: 
R i = L i .,XOR/(R i .i > Ki)- 

Zum Schh* werden die Ergebnisse (L16 t R16, der ie^ten DES-Runde wieder an enrern 64 
^gen.DaaEndergebnisU.d^derverseMba.eUePa^bb^CCbip^.). 

Operation mi. einer Zufaliszahl (R) Uber eine XOR-Opera«on vertaopft. D.ese Zufailszah. 

a^ei^.BU.angenH^^und^^v^ 

oineXOR-OperationverknttpAumdenJtorrelaen Ctapertextgem 

L linke ZufaEsaahl-Datenbloek - «ber eine XOR-Operation vertapft und dre reob.e Half.. 

Datenblock - iiber eine XOR-Operation verkntipft. 
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In Figur 4 ist erne Runde des DES-Algorithmus dargestellt. Jede Runde beginnt mit einer 
sogenannte Key-Transformation, wobei die Bits des Schltissels (Key, K) zyklisch vertauscht 
(„Shift-Operation") werden und anschlieBend tiber eine sogenannte Permuted-Choice- 
Operation 48 Bits als eigentlicher Schliissel fiir eine nachfolgende XOR-Operation extrahiert 
werden. Bestandteil jeder DES-Runde ist ferner eine sogenannte Expansion-Permutation- 

Operation, bei der die rechte Datenblockh&lfte (Rj) vertauscht und von 32 Bit auf 48 Bit 

expandieret wird. Das Ergebnis dieser Expansion-Permutation-Operation wird nun tiber eine 
XOR-Operation mit dem geheimen (transfonnierten) Schlttssel verkntipft und durch eine 
Substitutionsoperation durch Werte einer definierten Substitutionstabelle (sog. S-Box) ersetzt 
und anschlieBend permutiert. Die vorstehend beschriebenen Operationen bilden die 
eigentlichen Grundfunktionen und werden in der Funktion / zusammengefaflt 

In Figur 5 ist der erfindungsgemaB modifizierte Ablauf fiir die 1. DES-Runde dargestellt. 

Die rechte DatenhSlfte (R0) wird tiber eine XOR-Operation mit der rechten Haifte (RR) der 
Zufallszahl verkntipft, urn die modifizierte rechte DatenhSlfte (R0') zu liefern. 
Esgilt: R0' = RR©R0. 

Die linke Datenh&lfte (L0) wird tiber eine XOR-Operation mit der linken Haifte (RL) der 
Zufallszahl verkntipft, urn die modifizierte linke Datenhalfte (L0') zu liefem. 
Es gilt: L0' = RL©L0. 

Durch diese zufallige XOR-Verkntipfung werden die tats&chlich zu verschltisselnden Daten, 
die dem Angreifer bekannt sind, von den Daten, die in den DES-Runden verarbeitet werden 
so entkoppelt, daB keine Korrelation mehr besteht zwischen den Eingangsdaten, die dem 
Angreifer bekannt sind, und dem Stromverlauf wahrend der Ausfiihrung der DES-Runden. 

RO'dient nun als Eingang fiir eine erfindungsgemafl modifizierte DES-Runde (gekennzeichnet 

durch f) , deren Ergebnis dann Rl 9 ist. Es gilt: Rl ' = L0' © f (R0 r , Kl). 

Kl ist dabei der geheime Schliissel fiir die 1. DES-Runde (bzw. die Transformation des 

Schltissels). 
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Urn nun einen standardgemafl verschlttsselten Text (Rl) gemiB DES zu erhalten, wird 
Rl uber eine XOR-Operation mit der rechten Haifte (RR) der Zufallszahl (R) verknttpft. 
Esgilt: Rl = RR©R1\ 

Analog dazu wird R0' uber eine Funktion g' in eine Datenblockhalfte LI ' transfonniert, die 
die Eigenscliaft hat tlber eine XOR-Verkntlpfung mit der linken HSlfte (RL) der Zufallszahl 
(R) in einen standardgeinSB verschlttsselten Text (LI) gemafl DES umgewandelt zu werden. 
Die Funktion g\ fiihrt hierzu eine XOR-Verkntlpfung von RO'mit einer 
GrSfie R + = (RR © RL) durch. Diese Transformation findet jeweils zwischen einzelnen DES- 

Runden statt, so dafl allgemein gilt: L r i+1 =R + © R\ 

Die standardgemaO verschlttsselten Texte (LI, Rl) bilden den sogenannten Chipertext, der 
von dem berechtigten EmpfSnger der verschlttsselten Daten durch den an sich bekannten 
DES-Algorithmus bei Kenntnis des geheimen Schlttssels entschlfisselt werden kann. Dabei 
besteht allerdings in vorteilhafter Weise keine von auflen nachvollziehbare Korrelation 
zwischen den zu verschlttsselnden Daten und den Daten, die in den DES-Runden verarbeitet 
werden. Durch diese MaOnahme wird das Ausspionieren des geheimen Schlttssels vereitelt. 

Um am Ende wieder den standardgemaBen Chipertext liefern zu konnen, wird weiterhin die 
Substitutionsoperation S durch eine geanderte Substitutionsoperation S'ersetzt, indem die der 
Substitutionsoperation zugrunde liegenden Substitutionstabellen (sogenannte S-Boxen) 
modifiziert werden. Dies geschieht uber eine XOR-Verknttpfung der Standard S-Boxen mit 
der oben erwahnten Grofle R + . Dabei gilt : S' = P" 1 (R + ) © S. 

Dabei bezeiclinet P~ l die inverse Permutationsoperation nach der Substitutionsoperation (siehe 
Figur 4). 
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In einer AusfUhrungsform der Erfindung wird im Verlauf des Verschltisselungsprogramms 
mindestens eine Datenblockhaifle L\ mit einer weiteren Zufallszahl RX tiber eine XOR- 

Operation verkmipft: L'\ = RX © L\ (siehe Figur 6). Zur Neutralisation dieser XOR- 

Verkntipfung wird jeweils in jeder zweiten weiteren DES-Runde die jeweils andere 

Datenblockhaifte R'j mit der Zufallszahl RX uber eine XOR-Operation vor der Ausfilhrung 

der Funktion / verkniipft (siehe Figur 7). Durch diese Maflnahme der zusatzlichen zuf&lligen 
XOR-Verkniipfluig wird eine weiteres MaB an Sicherheit gewonnen. 
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PatentansprUche 



L Verfahren zur Ausfilhrung eines Standard-Verschlusselungsprogramms (z.B. des DES- 
Algorithmus) zur Verschliisselung von Daten in einem mikroprozessorgestiitzten, 
tragbaren Datentrager, der zum Datenaustausch und zur Energieversorgung mit einem 
Datenaustauschgerat verbunden wird, wobei die Verschliisselung zumindest teilweise 
darauf beniht, dafl die zu verschliisselnden Klartextdaten direkt oder in modifizierter Form 
durch eine Substitutionsoperation durch Werte einer definierten Substitutionstabelle ersetzt 
werden, dabei gilt: 

»encrypt = VP(D, K,) 

wobei 

VP das Verschlusselungsprogramm 

D die Eingangsdaten fiir das Verschlilsselungsprogramm 

Kj einen geheimen Schltlssel fur die Verschliisselung 
und D encrypt das Ergebnis des Verschlusselungsprogramms bezeichnet, 
dadurch gekennzeichnet. dafi 

- die Eingangsdaten D vor der Verschliisselung tiber eine XOR-Operation (©) mit einer 
Zufallszahl R verkmipft werden, wobei das Ergebnis dieser XOR-Operation als 
modifizierte Eingangsdaten D'fiir ein unter Einbeziehung der Zufallszahl R zumindest 
hinsichtlich der Substitutionsoperation modifiziertes Verschlusselungsprogramm 
VP'dienen, dabei gilt 

D' = (D©R) 

und 

D'eacrypt = VP'(D',K 1 ) 

- das Ergebnis D ' encry pt des modifizierten VerscMusselungsprogramms VP' mit der 
Zufallszahl R tiber XOR-Operation verkniipft wird, um wieder D encrypt zu liefern, dabei 
gilt: 

D encrypt = ^ encrypt ® ^ 
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2. Verfahren nach Anspruch 1, 
dadurch gelcemizeichnet, dafi 

die Zufallszahl in einem Zufallszahlengenerator des tragbaren Datentrfigers erzeugt wird. 

3. Verfahren nach Anspruch 2, 
dadurch gelcemizeichnet, daJ3 

der Zufallszahlengenerator als Programm in dem tragbaren DatentrSger implementiert ist. 

4. Verfahren nach Anspruch 1, 
dadurch gekennzeichnet, daB 

die Zufallszahl von dem Datenaustauschgerat an den tragbaren DatentrSger flbermittelt 
wird. 
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5. Verfahren nach einem der vorstehenden Ansprttche, wobei der Verschltisselungs- 

Algorithmus der DES-Algorithmus ist und somit die Verschltisselung blockweise in Form 
Datenblocks erfolgt und ein Datenblock in eine linke und eine rechte Datenblockhaifte 

(L if Rj) von jeweils gleicher Lfinge aufgeteilt wird, 

dadurch gekennzeichnet, daB 

- die Zufallszahl (R) aus zwei gleich langen Datenblficken (RL, RR) besteht, wobei der 
Zufallszahl-Datenblock (RL) zur XOR-Verkniipfung der linken Datenblockhaifte (Lj) und 
der Zufallszahl-Datenblock (RR) zur XOR-Verkniipfung der rechten Datenblockhaifte 
(Rj) vor der Inititial-Permutation-Operation verwendet wird, 

- eine Gr6J3e R + berechnet wird, die gleich dem Ergebnis der XOR-Verkntipfung des 
rechten Zufailszahl-Datenblocks (RR) mit dem linken Zufallszahl-Datenblocks (RL) ist: 
R + = (RR © RL), 

- die Standard-Substitutionsoperation S durch eine modifizierte Substitutionsoperation 
S' = P" 1 (R + ) 0 S ersetzt wird, wobei P" 1 (R*) die Anwendung der inversen 
Permutation-Operation auf die GrfiBe R + bezeichnet, 

- zwischen einzelnen DES-Runden zumindest eine Datenblockhaifte ( R'j ) tiber eine 
XOR-Verkniipfung mit R + in eine andere Datenblockhaifte (L' i+ i) transformiert wird: 

LV!=R + ©R'i 

- nach Beendigung der DES-Runden 

die linke Halfte des nach der inversen Imtial-Peimutation-Operation erhaltenen 
Datenblocks mit dem linken Zufallszahl-Datenblock (RL) tiber eine XOR-Operation 
verkniipft wird, 

und die rechte Halfte des nach der inversen Initial-Permutation-Operation erhaltenen 
Datenblocks mit dem rechten Zufallszahl-Datenblock (RL) iiber eine XOR-Operation 
verkniipft wird, 

um schlieOlich wieder einen verschlttsselten Datenblock gemaB Standard-DES zu 
erhalten. 
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6) Verfahreri nach Anspruch 5, 
dadurch gekennzeichnet, daB 

- in der ersten DES-Runde mindestens eine Datenblockhalfte L'j mit 

einer weiteren Zufallszahl RX tiber eine XOR-Operation verkniipft wird: L" { = RX ®L\ 

- jeweils in jeder zweiten weiteren DES-Runde die jeweils andere Datenblockhalfte R\ mit 
der Zufallszahl RX tiber eine XOR-Operation vor der Ausfiihrung der Funktion / verkntipft 
wird. 
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